Firmware et matériel : la face cachée des cyberattaques

L’intégrité des équipements IT, depuis leur fabrication jusqu’à leur mise au rebut, est un aspect souvent sous-estimé, qui peut vite devenir une faille. Si les processus de contrôle sont généralement bien établis en usine, le transit, le stockage et l’exploitation sur plusieurs années ouvrent autant de fenêtres d’opportunité pour des compromissions invisibles.

D’après une étude réalisée par HP, une entreprise sur quatre en France a déjà été victime d’une attaque ciblant sa chaîne d’approvisionnement IT, que ce soit par l’introduction de logiciels malveillants, la modification des composants ou encore la compromission du matériel pendant le transport. « Les attaques sur les couches basses des infrastructures IT sont particulièrement redoutables » rappelle Benjamin Duchet. En compromettant le firmware ou le BIOS, les attaquants peuvent obtenir un contrôle total sur un appareil, indépendamment du système d’exploitation ou des solutions de sécurité en place.

Un exemple frappant est l’attaque Black Lotus, qui a mis en lumière la vulnérabilité des firmwares. « Il y a vingt ans, les mots de passe BIOS posaient déjà un problème » poursuit Benjamin Duchet. « Ils étaient souvent identiques sur toutes les machines, voire totalement inexistants. Aujourd’hui encore, cette négligence persiste. Si les couches logicielles au-dessus de l’OS sont bien protégées, les couches basses n’ont pas suivi le même rythme en matière de sécurité. »

Cet état des lieux est bel et bien confirmé par la récente étude de HP : en 2025, 53% des décideurs reconnaissent que les mots de passe BIOS sont partagés ou trop faibles. La même proportion de répondants admet ne pas les changer durant tout le cycle de vie de l’appareil.

Autre chiffre révélateur issu de l’enquête, 63 % des entreprises françaises admettent que leur gestion de la sécurité matérielle et des firmwares ne couvre qu’une partie du cycle de vie des appareils. Résultat : elles restent exposées à des menaces qui pourraient être évitées par des mesures simples mais néanmoins essentielles.

Trois conseils pour renforcer la sécurité des couches basses

  1. Exploiter les fonctionnalités de sécurité existantes

Avant d’investir dans de nouvelles solutions, un premier réflexe doit être d’examiner les outils de protection déjà disponibles. « Beaucoup d’organisations n’ont pas connaissance des fonctionnalités de sécurité embarquées nativement dans leurs appareils » regrette Benjamin Duchet. HP a notamment intégré des protections au niveau matériel et firmwares, incluant des technologies de surveillance du BIOS/UEFI. Présentes dans les PC HP depuis une bonne dizaine d’années, ces solutions détectent toute compromission et restaurent automatiquement une version saine du BIOS si nécessaire. Avec HP Wolf Security, ces protections sont renforcées dans une suite complète des solutions cyber intégrant détection, prévention et récupération avancée.

  1. Dépasser la peur de la mise à jour

Si les mises à jour des systèmes d’exploitation et applications sont devenues un réflexe, celles des firmwares et BIOS sont trop souvent laissées de côté, malgré leur importance cruciale pour la sécurité et la stabilité des systèmes. « Mettre à jour ces couches basses fait encore peur aux équipes IT. Il y a cette crainte historique de mettre une machine hors-service après une mise à jour BIOS ratée. C’était peut-être vrai il y a 15 ans, mais aujourd’hui, les mécanismes de récupération sont bien maîtrisés. »

Cette appréhension, désignée sous le terme FOMU (Fear Of Making Updates), conduit 58 % des décideurs IT à ne pas appliquer les mises à jour firmware lorsqu'elles sont disponibles, tandis que 55 % d’entre eux admettent les éviter par crainte d’un dysfonctionnement, selon la même enquête HP.

Ils existent pourtant des solutions de repli, comme l’explique Benjamin Duchet : « Avec notre solution HP Sure Start, les machines conservent une copie de sauvegarde du BIOS certifié HP. Si une mise à jour échoue, elles réécrasent automatiquement la version corrompue et redémarrent avec la version précédente. L’impact utilisateur est donc quasiment inexistante. »

  1. Intégrer la cybersécurité dans le processus d’achat des équipements

La sécurité matérielle ne doit pas être une réflexion a posteriori, mais un critère dès l’acquisition des équipements. « Trop souvent, les équipes IT et cybersécurité ne sont pas impliquées dans le choix des équipements. Les achats se font sur des considérations de coûts et de fonctionnalités, sans évaluer les critères de sécurité » observe Benjamin Duchet.

Un problème déjà bien identifié, puisque 48% des décideurs admettent que les services achats et IT collaborent rarement pour évaluer les engagements des fournisseurs en matière de cybersécurité. 55 % des décideurs reconnaissent d’ailleurs que cette absence d’implication met leur entreprise en danger.

Reste donc à mieux coordonner les équipes IT, cybersécurité et achats pour faire de la sécurité l’affaire de tous et un critère incontournable, et ce dès l’acquisition des équipements !